Què és el “malware sense arxius persistents” i com detectar-lo amb eines gratuïtes

L'aparició de l' malware sense arxius persistents ha suposat un autèntic maldecap per als equips de seguretat. No estem davant del típic virus que deixes “caçat” en esborrar un executable del disc, sinó davant d'amenaces que viuen en memòria, abusen d'eines legítimes del sistema i, en molts casos, gairebé no deixen rastre forense aprofitable.

Aquest tipus d'atacs han esdevingut especialment populars entre grups avançats i ciberdelinqüents que busquen evadir antivirus tradicionals, robar dades i mantenir-se ocults el màxim temps possible. Entendre com funcionen, quines tècniques utilitzen i com detectar-los és clau per a qualsevol organització que es vulgui prendre seriosament la ciberseguretat avui dia.

Què és el codi maliciós sense arxius (fileless) i per què preocupa tant?

Quan parlem de malware sense arxius no ens referim que no hi hagi ni un sol byte implicat, sinó que el codi maliciós no s'emmagatzema com un arxiu executable clàssic al disc de l'endpoint. En lloc d'això, s'executa directament en memòria o s'allotja a contenidors poc visibles com el Registre, WMI o tasques programades.

En molts escenaris, l'atacant es recolza en eines ja presents al sistema —PowerShell, WMI, scripts, binaris de Windows signats— per a carregar, desxifrar o executar payloads directament a RAM. D'aquesta manera evita deixar executables evidents que un antivirus basat en firmes pugui detectar en un escaneig normal.

A més, part de la cadena d'atac pot ser “sense arxius” i una altra part sí que utilitzar el sistema de fitxers, de manera que parlem més d'un espectre de tècniques fileless que duna única família de malware. Per això no hi ha una única definició tancada, sinó diverses categories segons el grau d'empremta que deixen a la màquina.

Principals característiques del codi maliciós sense arxius persistents

Una propietat clau d'aquestes amenaces és la vostra execució centrada en memòria: el codi maliciós es carrega en RAM i s'executa dins de processos legítims, sense necessitar un binari maliciós estable al disc dur. En alguns casos, fins i tot s'injecta en processos crítics del sistema per camuflar-se millor.

Una altra característica important és la persistència poc convencional. Moltes campanyes fileless són purament volàtils i desapareixen després d'un reinici, però d'altres aconsegueixen reactivar-se usant claus d'Autorun del Registre, subscripcions WMI, tasques programades o BITS, de manera que l'artefacte “visible” és mínim i el payload real torna a viure en memòria cada cop.

Aquest enfocament redueix enormement l'eficàcia de la detecció basada en signatures, ja que no hi ha un executable fix per analitzar. Sovint el que es veu és un PowerShell.exe, un wscript.exe o un mshta.exe perfectament legítims, llançats amb paràmetres sospitosos o carregant contingut ofuscat.

Finalment, molts actors combinen tècniques fileless amb altres tipus de malware com troians, ransomware o adware, donant lloc a campanyes híbrides que barregen el millor (i el pitjor) dels dos mons: persistència i sigil.

Tipus d'amenaces sense fitxers segons la seva empremta al sistema

Diversos fabricants de seguretat classifiquen les amenaces “sense arxius” segons l'empremta que deixen a l'equip. Aquesta taxonomia ajuda a entendre què estem veient i com investigar-ho.

Tipus I: sense activitat de fitxer visible

A l'extrem més sigilós trobem el codi maliciós que no escriu absolutament res al sistema de fitxers. El codi arriba, per exemple, a través de paquets de xarxa que exploten una vulnerabilitat (com EternalBlue), s'injecta directament en memòria i es manté, per exemple, com una porta del darrere al nucli (DoublePulsar va ser un cas emblemàtic).

En altres escenaris, la infecció resideix a firmware de BIOS, targetes de xarxa, dispositius USB o fins i tot en subsistemes dins de la CPU. Aquest tipus d'amenaces pot sobreviure a reinstal·lacions del sistema operatiu, formats de disc i fins i tot alguns reinicis complets.

El problema és que la majoria de solucions de seguretat no inspeccionen firmware ni microcodi, i encara que ho facin, la remediació és complexa. Per sort, aquestes tècniques solen estar reservades a actors molt sofisticats i no són el més habitual en atacs massius.

Tipus II: ús indirecte de fitxers

Un segon grup es basa en contenir el codi maliciós en estructures emmagatzemades al disc, però no com a executables tradicionals, sinó en repositoris que barregen dades legítimes i malicioses, difícils de netejar sense danyar el sistema.

Exemples típics són scripts emmagatzemats al repositori de WMI, cadenes ofuscades a claus del Registre o tasques programades que llancen ordres perilloses sense que hi hagi un binari maliciós clar. El codi maliciós pot instal·lar aquestes entrades directament des de la línia d'ordres o un script i, a partir d'aquí, viure de forma gairebé invisible.

Encara que tècnicament hi ha arxius implicats (el fitxer físic on Windows guarda el repositori WMI o el hive del Registre), a efectes pràctics parlem de activitat fileless perquè no hi ha un executable evident que es pugui posar en quarantena sense més ni més.

Tipus III: necessita fitxers per funcionar

Al tercer tipus apareixen amenaces que usen fitxers, però de manera poc útil per a la detecció. Un cas conegut és Kovter, que registra extensions aleatòries al Registre perquè, en obrir un fitxer amb aquesta extensió, s'executi un script a través de mshta.exe o un binari nadiu similar.

Aquests fitxers esquer contenen dades irrellevants, i el veritable codi maliciós es recupera d'altres claus de registre o repositoris interns. Encara que existeix “alguna cosa” en disc, no és fàcil fer-lo servir com a indicador fiable de compromís, ni de bon tros com a mecanisme de neteja directa.

Vectors d'entrada i punts d'infecció més habituals

Més enllà de la classificació per empremta, és important entendre com entra en joc el codi maliciós sense arxius persistents al dia a dia. Els atacants acostumen a combinar diversos vectors segons l'entorn i l'objectiu.

Exploits i vulnerabilitats

Un dels camins més directes és l'abús de vulnerabilitats d'execució remota de codi (RCE) en navegadors, plugins (com Flash al seu moment), aplicacions web o serveis de xarxa (SMB, RDP, etc.). L'exploit injecta shellcode que descarrega directament o descodifica la càrrega maliciosa en memòria.

En aquest model, el fitxer inicial pot ser a la xarxa (exploits tipus WannaCry) o en un document que obri l'usuari, però la càrrega útil mai s'escriu com a executable al disc: es desxifra i executa en la trepitjada des de RAM.

Documents maliciosos i macros

Una altra via molt explotada són els documents d'Office amb macros o DDE, així com PDFs preparats per aprofitar fallades dels lectors. Un Word o Excel aparentment inofensiu pot incloure VBA que llanci PowerShell, WMI o altres intèrprets per descarregar codi, executar ordres o injectar shellcode en processos de confiança.

Aquí larxiu en disc és “només” un contenidor de dades, mentre que el vector real és el motor de scripting intern de l'aplicació. De fet, moltes campanyes de correu brossa massiu han abusat d'aquesta tàctica per desplegar atacs fileless en xarxes corporatives.

Scripts i binaris legítims (Living off the Land)

Els atacants adoren les eines que ja porta Windows: PowerShell, wscript, cscript, mshta, rundll32, regsvr32, Windows Management Instrumentation, BITS, etc. Aquests binaris signats i fiables poden executar scripts, DLLs o contingut remot sense que calgui un “virus.exe” sospitós.

En passar codi maliciós com paràmetres de línia d'ordres, incrustar-lo en imatges, xifrar-lo i descodificar-lo en memòria o emmagatzemar-lo al Registre, aconsegueixen que l'antivirus només vegi activitat de processos legítims, dificultant molt la detecció basada únicament en arxius.

Maquinari i firmware compromès

A un nivell encara més baix, els atacants avançats poden infiltrar firmware de BIOS, targetes de xarxa, discs durs o fins i tot subsistemes de gestió de la CPU (com Intel ME o AMT). Aquest tipus de codi maliciós s'executa per sota del sistema operatiu i pot interceptar o modificar trànsit sense que l'OS tingui constància.

Tot i que és un escenari extrem, il·lustra fins a quin punt una amenaça sense arxius pot mantenir persistència sense tocar el sistema de fitxers del SO, i per què les eines clàssiques d'endpoint es queden curtes en aquests casos.

Com funciona un atac de codi maliciós sense arxius persistents

A nivell de flux, un atac fileless s'assembla força a un basat en arxius, però amb diferències rellevants com s'implementa el payload i com es manté l'accés.

1. Accés inicial al sistema

Tot comença quan l'atacant aconsegueix un primer punt de suport: un correu de phishing amb enllaç o adjunt maliciós, un exploit contra una aplicació vulnerable, credencials robades per RDP o VPN, o fins i tot un dispositiu USB manipulat.

En aquesta fase es fa servir enginyeria social, redireccions malicioses, campanyes de malvertising o atacs sobre Wi-Fi maliciosos perquè l'usuari faci clic on no cal o per explotar serveis exposats a Internet.

2. Execució del codi maliciós en memòria

Un cop guanyada aquesta primera entrada, es desencadena el component fileless: un macro d'Office llança PowerShell, un exploit injecta shellcode, una subscripció WMI dispara un script, etc. L'objectiu és carregar el codi maliciós directament a RAM, ja sigui descarregant-lo d'Internet o reconstruint-lo a partir de dades incrustades.

Des d'aquí, el codi maliciós pot escalar privilegis, moure's lateralment, robar credencials, desplegar webshells, instal·lar RATs o xifrar dades, tot això recolzant-se en processos legítims per reduir el soroll.

3. Establiment de persistència

Entre les tècniques habituals es troben:

• Claus d'Autorun al Registre que executen ordres o scripts en iniciar sessió.
• Tasques programades que llancen scripts, binaris legítims amb paràmetres o ordres remots.
• Subscripcions WMI que disparen codi en complir determinats esdeveniments del sistema.
• Ús de BITS per a descàrregues periòdiques de payloads des de servidors de comandament i control.

En molts casos, el component persistent és mínim i serveix només per tornar a injectar el codi maliciós en memòria cada cop que arrenca el sistema o es compleix una condició específica.

4. Accions sobre els objectius i exfiltració

Amb la persistència assegurada, l'atacant se centra en allò que realment li interessa: robar informació, xifrar-la, manipular sistemes o espiar durant mesos. L'exfiltració es pot fer per HTTPS, DNS, canals encoberts o serveis legítims. En incidents reals, saber què fer en les primeres 24 hores després d'un pirateig pot marcar la diferència.

En atacs APT, és habitual que el codi maliciós romangui silenciós i sigilós durant llargs períodes, construint portes posteriors addicionals per garantir laccés fins i tot si part de la infraestructura és detectada i netejada.

Capacitats i tipus de codi maliciós que poden ser fileless

Pràcticament qualsevol funció maliciosa que pugui realitzar un codi maliciós clàssic es pot implementar seguint un enfocament sense fitxers o semi-fileless. El que canvia no és lobjectiu, sinó la manera de desplegar el codi.

Malware resident únicament en memòria

En aquesta categoria entren payloads que viuen exclusivament a la memòria del procés o del nucli. Rootkits moderns, backdoors avançades o eines d'espionatge poden carregar-se a l'espai de memòria d'un procés legítim i romandre fins que es reiniciï el sistema.

Aquests components són especialment difícils de veure amb eines orientades al disc, i obliguen a fer servir anàlisi de memòria en viu, EDR amb inspecció en temps real o capacitats forenses avançades.

Malware basat en el Registre de Windows

Una altra tècnica recurrent és emmagatzemar codi xifrat o ofuscat en claus del Registre i utilitzar un binari legítim (com PowerShell, MSHTA o rundll32) per llegir-lo, descodificar-lo i executar-lo en memòria.

El dropper inicial es pot autodestruir després d'escriure al Registre, de manera que l'únic que queda és una barreja de dades aparentment inofensives que activen l'amenaça cada vegada que arrenca el sistema o cada cop que s'obre un fitxer concret.

Ransomware i troians sense fitxers

L'enfocament fileless no està renyit amb càrregues molt agressives com el ransomware. Hi ha campanyes que descarreguen, desxifren i executen el xifrador íntegrament en memòria usant PowerShell o WMI, sense deixar l'executable del ransomware al disc.

De la mateixa manera, troians d'accés remot (RAT), keyloggers o lladres de credencials poden operar de manera semi-fileless, carregant mòduls sota demanda i allotjant la lògica principal en processos legítims del sistema.

Kits d'explotació i credencials robades

Els kits d'exploits web són una altra peça del puzle: detecten el programari instal·lat, seleccionen l'exploit adequat i injecten el payload directament a la memòria, sovint sense guardar absolutament res en disc.

D'altra banda, l'ús de credencials robades és un vector que encaixa molt bé amb les tècniques sense arxius: l'atacant s'autentica com un usuari legítim i, a partir d'aquí, abusa d'eines administratives natives (PowerShell Remoting, WMI, PsExec) per desplegar scripts i comandes que no deixen rastres clàssics de codi maliciós (malware).

Per què el codi maliciós sense arxius és tan difícil de detectar?

La raó de fons és que aquest tipus d'amenaces es dissenyen específicament per burlar les capes tradicionals de defensa, basades en signatures, llistes blanques i escanejos periòdics darxius.

Si el codi maliciós mai es guarda com a executable al disc, o si s'amaga en contenidors mixtos com WMI, Registre o firmware, l'antivirus clàssic té molt poc a analitzar. En lloc d'un “arxiu sospitós”, el que hi ha són processos legítims que es comporten de forma anòmala.

A més, bloquejar eines com PowerShell, macros d'Office o WMI de manera radical no és viable a moltes organitzacions, perquè són imprescindibles per a administració, automatització i operacions diàries. Això obliga els defensors a filar molt fi.

Alguns proveïdors han intentat compensar amb pegats ràpids (bloqueig genèric de PowerShell, desactivació total de macros, detecció només al núvol, etc.), però aquestes mesures solen ser insuficients o excessivament disruptives per al negoci.

Estratègies modernes per detectar i frenar el malware sense fitxers

Per enfrontar-se a aquestes amenaces cal anar més enllà del simple escaneig de fitxers i apostar per un enfocament centrat en comportament, telemetria en temps real i visibilitat profunda del punt final.

Monitorització de comportament i memòria

Un enfocament eficaç consisteix a observar què fan realment els processos: quines ordres executen, a quins recursos accedeixen, quines connexions estableixen, com es relacionen entre si, etc. Encara que hi hagi milers de variants de codi maliciós, els patrons de comportament maliciós són bastant més limitats. També es pot complementar amb la detecció avançada amb YARA.

Solucions modernes combinen aquesta telemetria amb anàlisis en memòria, heurístiques avançades i aprenentatge automàtic per identificar cadenes datac, fins i tot quan el codi està fortament ofuscat o mai sha vist abans.

Ús d'interfícies del sistema com AMSI i ETW

Windows ofereix tecnologies com Antimalware Scan Interface (AMSI) y Event Tracing for Windows (ETW) que permeten inspeccionar scripts i esdeveniments del sistema a molt baix nivell. Integrar aquestes fonts a les solucions de seguretat facilita detectar codi maliciós just abans o durant la seva execució.

A més, l'anàlisi d'àrees crítiques -tasques programades, subscripcions WMI, claus de Registre d'arrencada, etc.- ajuda a identificar persistències fileless encobertes que podrien passar desapercebudes amb un simple escaneig de fitxers.

Caça d'amenaces i indicadors d'atac (IoA)

Atès que els indicadors clàssics (hashes, rutes d'arxiu) es queden curts, és recomanable recolzar-se a indicadors d'atac (IoA), que descriuen comportaments sospitosos i seqüències d'accions que encaixen amb tàctiques conegudes.

Equips de threat hunting —interns o mitjançant serveis gestionats— poden cercar de forma proactiva patrons de moviment lateral, abús d'eines natives, anomalies en l'ús de PowerShell o accessos estranys a dades sensibles, detectant amenaces fileless abans que desencadenen un desastre.

EDR, XDR i SOC 24/7

Les plataformes modernes de EDR i XDR (detecció i resposta a endpoints ia nivell estès) aporten la visibilitat i correlació necessàries per reconstruir la història completa d'un incident, des del primer correu de phishing fins a l'exfiltració final.

Combinades amb un SOC operatiu 24/7, permeten no només detectar, sinó també contenir i posar remei automàticament l'activitat maliciosa: aïllar equips, bloquejar processos, revertir canvis al Registre o desfer xifrats quan és possible.

Les tècniques de malware sense fitxers persistents han canviat les regles del joc: ja no n'hi ha prou amb “passar l'antivirus” i esborrar un executable sospitós. Avui la defensa passa per entendre com els atacants viuen de la terra, ocultant codi en memòria, registre, WMI o firmware, i per desplegar una combinació de monitorització de comportament, anàlisi en memòria, EDR/XDR, caça d'amenaces i bones pràctiques. Reduir de manera realista l'impacte d'uns atacs que, per disseny, intenten no deixar empremtes on miren les solucions més tradicionals requereix una estratègia holística i continuada. En cas de compromís, saber reparar Windows després d'un virus greu és essencial.